Cum se configurează și se utilizează portul SSH? Ghid pas cu pas

Secure Shell, sau abreviat ca SSH, este una dintre cele mai avansate tehnologii de protecție a datelor în transmisie. Utilizarea unui astfel de regim pe același router permite nu numai confidențialitatea informațiilor transmise, dar, de asemenea, pentru a accelera schimbul de pachete. Cu toate acestea, nu toată lumea știe de departe încât să deschidă portul SSH, și de ce toate acest lucru este necesar. În acest caz, este necesar să se dea o explicație constructivă.

Port SSH: ce este si de ce avem nevoie?

Din moment ce vorbim despre securitate, în acest caz, sub portul SSH pentru a fi înțeles canal dedicat sub forma unui tunel, care oferă criptare a datelor.

Schema cea mai primitivă a acestui tunel este faptul că un SSH-port deschis este utilizat în mod implicit pentru a cripta datele de la sursă și decriptarea pe final. Acest lucru poate fi explicat după cum urmează: dacă vă place sau nu, traficul transmis, spre deosebire de IPSec, criptat sub constrângere și terminalul de ieșire al rețelei, și pe partea de primire a intrării. Pentru a decripta informațiile transmise pe acest canal, terminalul de recepție utilizează o cheie specială. Cu alte cuvinte, pentru a interveni în transferul sau compromite integritatea datelor transmise în acest moment nu se poate fără cheie.

Doar deschidere SSH-port de pe orice router sau folosind setările corespunzătoare ale clientului suplimentar interacționează direct cu SSH-server, vă permite să utilizați pe deplin toate caracteristicile sistemelor moderne de securitate de rețea. Suntem aici cu privire la modul de a utiliza un port care este atribuit de setările implicite sau personalizate. Acești parametri în aplicația ar putea arata dificil, dar fără o înțelegere a organizării unei astfel de conexiuni nu este suficient.

Portul Standard SSH

În cazul în care, într-adevăr, pe baza parametrilor de oricare dintre router-ului ar trebui să stabilească mai întâi comanda, ce fel de software-ul va fi utilizat pentru activarea acestui link. De fapt, portul SSH implicit poate avea setări diferite. Totul depinde de ce metodă este folosită în momentul (conexiunea directă la server, instalarea suplimentară port forwarding client și așa mai departe. D.).

De exemplu, în cazul în care clientul utilizat Jabber, pentru conexiuni corecte, criptare și transfer de date port 443 urmează să fie folosit, deși exemplul de realizare este stabilit în portul standard de 22.

Pentru a reseta routerul la alocarea pentru un anumit program sau a procesa condițiile necesare trebuie să efectueze port forwarding SSH. Ce este? Acesta este scopul unui acces special la un singur program care utilizează o conexiune la Internet, indiferent de setare este de curent de schimb de protocol de date (IPv4 sau IPv6).

justificarea tehnică

Portul SSH Standard 22 nu este întotdeauna folosit ca era deja clar. Cu toate acestea, aici este necesar să se aloce o parte din caracteristicile și setările folosite în timpul configurării.

De ce criptate protocolul confidențialitatea datelor implică utilizarea de SSH ca pur extern (Guest) Port utilizator? Dar numai pentru că tunelare este aplicat permite utilizarea unei așa-numita coajă de la distanță (SSH), pentru a avea acces la gestionarea terminalului prin conectare la distanta (slogin), și se aplică procedura de copiere la distanță (scp).

În plus, SSH-port poate fi activat în cazul în care utilizatorul este necesar pentru a executa script-uri de la distanță X Windows, care, în cel mai simplu caz este un transfer de informații de la o mașină la alta, așa cum sa spus, cu o criptare a datelor forțată. În astfel de situații, cel mai necesar se va utiliza pe baza algoritmului AES. Acesta este un algoritm de criptare simetrică, care a fost prevăzut inițial în tehnologia SSH. Și de a folosi nu numai posibil, ci este necesar.

Istoria realizarea

Tehnologia a apărut pentru o lungă perioadă de timp. Să lăsăm la o parte problema modului de a face port de glazură SSH, și să se concentreze asupra modului în care toate lucrările.

De obicei, se ajunge la, de a utiliza un server proxy pe baza de șosete sau de a folosi VPN tunelare. În cazul în care unele aplicații software-ul poate lucra cu VPN, mai bine pentru a alege această opțiune. Faptul că aproape toate programele cunoscute astăzi folosesc traficul pe Internet, VPN-ul poate lucra, dar de configurare ușor de rutare nu este. Acest lucru, la fel ca în cazul serverelor proxy, permite să părăsească adresa externă a terminalului de la care a produs în prezent în rețeaua de ieșire, nerecunoscut. Acesta este cazul cu adresa proxy este mereu în schimbare, iar versiunea VPN rămâne neschimbată, cu fixarea unei anumite regiuni, alta decât cea în cazul în care există o interdicție privind accesul.

Aceeași tehnologie care oferă portul SSH, a fost dezvoltat în 1995 în cadrul Universității de Tehnologie din Finlanda (SSH-1). În 1996, îmbunătățiri au fost adăugate sub formă de SSH-2 protocol, care a fost destul de răspândită în spațiul post-sovietic, deși pentru acest lucru, precum și în unele țări din Europa de Vest, este uneori necesar pentru a obține permisiunea de a utiliza acest tunel, și de la agențiile guvernamentale.

Principalul avantaj al deschiderii SSH-port, spre deosebire de telnet sau rlogin, este utilizarea semnăturii digitale RSA sau DSA (utilizarea unei perechi de deschis și o cheie îngropată). Mai mult decât atât, în această situație, puteți utiliza așa-numita cheie de sesiune bazată pe Diffie-Hellman, care implică utilizarea de o ieșire de criptare simetrică, cu toate că nu exclude utilizarea de algoritmi de criptare asimetrică în timpul transmisiei de date și recepția de către o altă mașină.

Servere și coajă

Pe Windows sau Linux SSH-port deschis nu este atât de dificil. Singura întrebare este, ce fel de instrumente în acest scop, vor fi utilizate.

În acest sens, este necesar să se acorde o atenție problemei de transmitere a informațiilor și de autentificare. În primul rând, protocolul în sine este suficient protejată de așa-numitul sniffing, care este cea mai obișnuită „interceptarilor“ de trafic. SSH-1 sa dovedit a fi vulnerabile la atacuri. Interferența în procesul de transferare a datelor sub forma unei scheme de „om în mijloc“ a avut rezultatele sale. Informațiile ar putea pur și simplu intercepta și descifra destul de elementar. Dar a doua versiune (SSH-2) a fost imun la acest tip de intervenție, cunoscut sub numele de hijack, datorită ceea ce este cel mai popular.

Bans de securitate

În ceea ce privește securitatea în ceea ce privește datele transmise și recepționate, organizarea conexiunilor stabilite cu utilizarea unor astfel de tehnologii permite evitarea următoarelor probleme:

• cheie de identificare la gazdă în etapa de transmisie, atunci când un „instantaneu» amprentă digitală;
• Suport pentru Windows și sistemele UNIX-like;
• înlocuirea IP și adresele DNS (spoofing);
• intercepteze parola deschis cu acces fizic la canalul de date.

De fapt, întreaga organizare a unui astfel de sistem este construit pe principiul „client-server“, care este, în primul rând pe computerul utilizatorului printr-un program special sau add-in apeluri la server, care produce o redirecționare corespunzătoare.

tunelelor

Este de la sine înțeles că punerea în aplicare a conexiunii de acest fel într-un driver special trebuie să fie instalat pe sistem.

De obicei, în sistemele bazate pe Windows este construit în driverul de program shell Microsoft Teredo, care este un fel de mijloace de emulație virtuale IPv6 în rețele de sprijin numai IPv4. adaptor implicit tunel este activ. În caz de eșec asociat cu acesta, puteți face doar o repornire a sistemului sau de a efectua o oprire și a reporni comenzile din consola de comandă. Pentru a dezactiva sunt utilizate astfel de linii:

• netsh;
• interfață de stat set Teredo dezactivat;
• interfață isatap set de stat dezactivat.

După introducerea comenzii, trebuie să reînceapă. Pentru a reactiva adaptorul și verificați starea de handicap în locul permisului de registre activat, după care, din nou, trebuie să reînceapă întregul sistem.

SSH-server

Acum, să vedem modul în care portul SSH este folosit ca bază, pornind de la schema „client-server“. Valoarea implicită este de obicei aplicat 22 minute de port, dar, așa cum sa menționat mai sus, poate fi utilizat și 443. Singura întrebare în preferința serverului însuși.

Cele mai frecvente SSH-servere este considerat a fi următoarele:

• pentru Windows: Tectia Server SSH, OpenSSH cu Cygwin, MobaSSH, KpyM Telnet / SSH Server, WinSSHD, copssh, freeSSHd;
• pentru FreeBSD: OpenSSH;
• pentru Linux: Tectia Server SSH, ssh, OpenSSH-server, LSH-server, dropbear.

Toate serverele sunt gratuite. Cu toate acestea, puteți găsi și plătit servicii care furnizează un nivel mai mare de securitate, care este esențială pentru organizarea accesului la rețea și securitatea informațiilor în întreprinderi. Costul unor astfel de servicii nu este discutată. Dar, în general, putem spune că este relativ ieftin, chiar și în comparație cu instalarea de software special sau „hardware“ firewall.

SSH-client

Portul SSH Schimbarea se poate face pe baza programului de client sau setările corespunzătoare atunci când portul de expediere pe router.

Cu toate acestea, dacă atingeți shell client, următoarele produse software pot fi utilizate pentru diferite sisteme:

• Ferestre - SecureCRT, chituri \ pis, Axessh, ShellGuard, SSHWindows, ZOC, XShell, ProSSHD etc;..
• Mac OS X: iTerm2, vSSH, NiftyTelnet SSH;
• Linux și BSD: LSH-client, kdessh, OpenSSH-client, Vinagre, chit.

Autentificarea se bazează pe cheia publică, și de a schimba portul

Acum câteva cuvinte despre modul în care verificarea și configurarea unui server. În cel mai simplu caz, trebuie să utilizați un fișier de configurare (sshd_config). Cu toate acestea, puteți face fără ea, de exemplu, în cazul unor programe cum ar fi PuTTY. Schimbarea SSH portul din valoarea implicită (22) la orice alt este complet elementar.

Principalul lucru - pentru a deschide un număr de port nu depășește valoarea de 65535 (porturi mai mari, pur și simplu nu există în natură). În plus, ar trebui să acorde o atenție la unele porturi deschise în mod implicit, care pot fi utilizate de către clienți, cum ar fi baze de date MySQL sau ftpd. Dacă le specificați pentru configurarea SSH, desigur, ei doar să nu mai funcționeze.

Este demn de remarcat faptul că același client Jabber trebuie să se execute în același mediu, folosind SSH-server, de exemplu, pe o mașină virtuală. Și cel mai de server localhost va avea nevoie pentru a atribui o valoare 4430 (în loc de 443, așa cum sa menționat mai sus). Această configurație poate fi utilizată atunci când accesul la jabber.example.com fișierul principal blocate de firewall.

Pe de altă parte, porturile de transfer poate fi pe router folosind configurația interfeței sale cu crearea de excepții de la regulile. În cele mai multe modele de intrare prin intermediul adreselor de intrare, începând cu 192.168 suplimentat cu 0,1 sau 1,1, dar routere ADSL capabilitatilor-modemuri cum ar fi Mikrotik, adresa final implică utilizarea de 88,1.

În acest caz, creați o nouă regulă, apoi setați parametrii necesari, de exemplu, pentru a instala conexiunea externă dst-nat, precum și porturile prevăzute manual nu sunt în conformitate cu setările generale și în secțiunea preferințelor Activism (Acțiune). Nimic prea complicat aici. Principalul lucru - pentru a specifica valorile cerute de setări și setați portul corect. În mod implicit, puteți utiliza portul 22, dar în cazul în care clientul folosește un special (unele dintre cele de mai sus pentru sisteme diferite), valoarea poate fi modificată în mod arbitrar, ci doar pentru ca acest parametru să nu depășească valoarea declarată, peste care numerele de port nu sunt pur și simplu disponibile.

Când configurați conexiuni, de asemenea, ar trebui să acorde o atenție la parametrii programului client. Acesta poate fi bine că în setările sale trebuie să specificați lungimea minimă a cheii (512), deși implicit este de obicei setat 768. De asemenea, este de dorit să se stabilească timpul de expirare pentru a vă conecta la nivelul de 600 de secunde și permisiunea de acces de la distanță cu drepturi de root. După aplicarea acestor setări, aveți nevoie pentru a permite, de asemenea, utilizarea tuturor drepturilor de autentificare, altele decât cele bazate pe utilizarea .rhost (dar este necesar doar pentru administratorii de sistem).

Printre altele, în cazul în care numele de utilizator înregistrat în sistem, nu la fel cum a fost introdus în acest moment, acesta trebuie să fie specificat în mod explicit, folosind comanda de master ssh utilizator cu introducerea unor parametri suplimentari (pentru cei care înțeleg ce este în joc).

Echipa ~ / .ssh / id_dsa pot fi utilizate pentru transformarea cheii și metoda de criptare (sau rsa). Pentru a crea o cheie publică utilizată de conversie cu ajutorul liniei ~ / .ssh / identity.pub (dar nu neapărat). Dar, după cum arată practica, cel mai simplu mod de a utiliza comenzi cum ar fi ssh-keygen. Aici esența problemei este redusă doar la faptul, pentru a adăuga cheia de la instrumentele de autentificare disponibile (~ / .ssh / authorized_keys).

Dar noi am mers prea departe. Dacă te duci înapoi la problema setările portului SSH, astfel cum a fost clar port de schimbare SSH nu este atât de dificil. Cu toate acestea, în unele situații, spun ei, va trebui să transpire, deoarece necesitatea de a lua în considerare toate valorile parametrilor cheie. Restul problemă de configurare a se reduce la intrarea oricărui program de server sau client (în cazul în care este prevăzut inițial), sau de a folosi port forwarding pe router. Dar chiar și în caz de schimbare a portului 22, implicit, la același 443, ar trebui să fie înțeles în mod clar că un astfel de sistem nu funcționează întotdeauna, dar numai în cazul instalării aceluiași add-in Jabber (alți analogi pot activa și porturile lor respective, Acesta diferă de standard). În plus, o atenție deosebită trebuie acordată setarea SSH-client, care va interacționa direct cu SSH-server, în cazul în care este într-adevăr ar trebui să utilizeze conexiunea curentă a parametrului.

În ceea ce privește restul, în cazul în care transmiterea portului nu este furnizat inițial (deși este de dorit să se efectueze astfel de acțiuni), setări și opțiuni de acces prin SSH, nu puteți schimba. Există probleme când se creează o conexiune și utilizarea sa ulterioară, în general, nu este de așteptat (cu excepția cazului, desigur, nu va fi utilizat manual configura serverul pe bază de configurare și client). Cele mai frecvente excepții de la crearea de reguli pe router vă permite să corecteze orice probleme sau să le evite.